情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問6: JIS Q 27000:2014（情報セキュリティマネジメントシステム－用語）における“リスクレベル”の定義はどれか。

問題本文

JIS Q 27000:2014（情報セキュリティマネジメントシステム－用語）における“リスクレベル”の定義はどれか。

選択肢

• ア.脅威によって付け込まれる可能性のある，資産又は管理策の弱点
• イ.結果とその起こりやすさの組合せとして表現される，リスクの大きさ
• ウ.対応すべきリスクに付与する優先順位
• エ.リスクの重大性を評価するために目安とする条件

正解

イ. 結果とその起こりやすさの組合せとして表現される，リスクの大きさ

解説

JIS Q 27000:2014における“リスクレベル”は、結果（影響の大きさ）とその起こりやすさ（発生可能性）の組合せとして表現されるリスクの大きさと定義される。これはリスク=影響度×発生可能性という考え方に対応する。したがって、その定義をそのまま述べたイが正解である。

選択肢ごとの解説

• ア.脅威に付け込まれる資産・管理策の弱点は“ぜい弱性（脆弱性）”の定義であり、リスクレベルではない。
• イ.結果とその起こりやすさの組合せで表されるリスクの大きさは、まさにリスクレベルの定義であり正しい。
• ウ.対応すべきリスクに付与する優先順位は、リスク評価の結果決まる事項であって、リスクレベルの定義そのものではない。
• エ.リスクの重大性を評価する目安とする条件は“リスク基準”の説明であり、リスクレベルではない。